Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Transkript

1 Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag /

2 Agenda Ansatz des BSI für sicheres Cloud Computing Motivation: Wozu ein Sicherheitsprofil? Was beinhaltet das Sicherheitsprofil Risikoanalyse für Clouds Vergleich zwischen Standards/Rahmenwerken Sicherheitsmaßnahmen Kreuz-Referenz-Tabelle Zusammenfassung Fragen und Diskussion 2

3 Ansatz des BSI für sicheres Cloud Computing Risikotransparenz Sicheres Cloud Computing Offene Standards Klare Verantwortung Nutzer & Anbieter 3

4 Wozu ein Sicherheitsprofil? Clouds sind in der Regel gekennzeichnet durch Höheren oder sehr hohen Schutzbedarf Hochgradig standardisierten Prozessen, Akteuren und Daten Risikoanalyse ab hohem Schutzbedarf Ungenutzte Potenziale aus Standardisierbarkeit von Prozessen, Akteuren und Daten Was ist mit dem Restrisiko? Außerdem ISMS nach anderen Rahmenwerken/Standards Schnelle Ergebnisse UND systematischer Ansatz angepasst an Clouds 4

5 Sicherheitsprofil CRM-SaaS: Idee & Voraussetzungen Voraussetzung: Es existiert ein ISMS & BCM beim Cloud Anbieter (und beim Nutzer) Hoher Schutzbedarf und dynamisches Umfeld erfordern kontinuierliches Risikomanagement Risiko Identifikation (Was sind die Hauptrisiken?) Risikobewertung (Wie schlimm sind sie?) Risikobehandlung (Was sollte getan werden?) Idee: Das Sicherheitsprofil ist eine Blaupause für das Risikomanagement (Prinzip Sapere aude! ) Systematische Risiko Identifikation Bewertung für Standard Prozesse, Akteure und Daten Behandlung nach anerkannten Standards 5

6 Risikoanalyse für Clouds im Überblick Cloud-Referenzarchitektur des IETF Alle relevanten Akteure und ihre Prozesse und Daten identifizieren Alle Verbindungen zwischen Akteuren und Cloud Komponenten identifizieren Akteure & Komponenten mit STRIDE-Klassen kombinieren Alle möglichen Risiken konsolidieren Ergebnisse Erweiterbare Karte aller Akteure und Verbindungen Systematischer Überblick über Risiken und Restrisiken Prozesse und Daten ergeben erste Priorisierung 6

7 Systematische Risiko Identifikation Cloud Stack des IETF als Referenz-Architektur Akteure & Prozesse (s.u.) Abstrakte Risiken: STRIDE Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of privileges Kombiniere alle Cloud Ebenen und Akteure mit allen Risiken Alle möglichen Risiken Access & Delivery Layer Cloud Service Layer Resource Control Layer Physical Layer Cloud Management Layer 7

8 Systematische Risiko Identifikation Akteur: CRM-User/User-Admin Login Geschäfts Prozesse Für Admins Logout Kundendaten Verarbeiten Kundendaten Profilerstellen CRM Management 8

9 Systematische Risiko Identifikation Cloud Stack des IETF als Referenz-Architektur Akteure & Prozesse (s.u.) Abstrakte Risiken: STRIDE Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of privileges Kombiniere alle Cloud Ebenen und Akture mit allen Risiken Alle möglichen Risiken Subscriber End User Cloud Service Provider Subscriber Admin Subcontractor 9

10 Zusammenfassung der Vorgehensweise Zwischen Akteuren Verbindungen Informationen & Ressourcen von verschiedenen Prozessen Können nur Bedrohungen der Form Spoofing (Täuschung) Tampering (Manipulation) Repudiation (Abstreitung) Info Disclosure (Vertrauensverlust) Denial of Service (Verfügbarkeit) Elevation of Privileges (Rechteeskalation) auftreten Authentifizierung Integrität Nichtabstreitbarkeit Vertraulichkeit Verfügbarkeit Autorisierung Sicherheitsanforderungen Restrisikoerfassung durch Vernachlässigung von Anforderungen Nichtumsetzung von Maßnahmen Prüfbare & transparente Maßnahmen für Prozesse Betroffene Akteure & Informationen Benutzte Verbindungen Technische Ressourcen 10

11 Risikobehandlung 60 mögliche Risiken 13 Risikofelder Eckpunktepapier, ISO 27001, NIST , Cloud Control Matrix (CSA), FedRAMP zu Anforderungen konsolidiert Für Anwendungsfall CRM konkrete Maßnahmen Kreuz-Referenz-Tabelle zwischen Risiken und Maßnahmen Systematische Identifikation des Restrisikos Vernachlässigung von Anforderungen Nichtumsetzung von Maßnahmen Schneller Überblick über wichtigste Maßnahmen der Risikobehandlung 11

12 Sicherheitsanforderungen und Maßnahmen aus Standards/Rahmenwerken Sicherheitsanforderungen aus dem Sicherheitsprofil NIST Fed RAMP CSA CCM BSI Eckpunkte [HRR-01] Mitarbeiter des Cloud-Service-Anbieters und der an der Bereitstellung des Service beteiligten Sub-Dienstleiter werden regelmäßig zu Sicherheitsbedrohungen und Sicherheitsmaßnahmen ausreichend geschult. A AT-1 AT-2 AT-3 AT-4 IR-2 AT-1, AT-2, AT-3, AT-4, HR-01 IS-11, IS-12, IS-14, 11: 2;3 Sicherheitsverhalten und Sicherheitstraining M Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für das erforderliche Sicherheitsverhalten und Sicherheitstraining der Mitarbeiter entsprechend den ihnen zugewiesenen Aufgaben und Verantwortlichkeiten verfügen. M Auf der Grundlage der Richtlinien muss der Cloud Service Provider Prozesse etablieren, welche die Umsetzung unterstützen. Dazu gehören: die regelmäßige und dokumentierte Einweisung und Schulung in die sichere Konfiguration, den sicheren Betrieb und das sichere Management der für den Service erforderlichen Systeme und Komponenten, die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung von Sicherheitsmaßnahmen, die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung datenschutzrechtlicher Regelungen und Anforderungen, die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse. Besonderer Fokus soll dabei sein, die Mitarbeiter zu befähigen, Social Engineering Attacken, die gerade bei mehrstufigen Angriffen und APTs eine vorbereitende Funktion haben, zu erkennen und ihnen durch entsprechende Prozesse beim CSP zu begegnen. 12

13 Kreuz-Referenz-Tabelle für das Risikomanagement Adaptiert aus dem IT-Grundschutz Hilfreich für Fragen: Welche Maßnahmen sollten primär/sekundär zur Behandlung welchen Risikos angegangen werden? Welches direkte/indirekte Risiko entsteht, wenn Maßnahmen nicht umgesetzt werden? 13

14 Sicherheitsprofil SaaS Im Überblick Referenzarchitektur des IETF BSI Eckpunktepapier, ISO 27001, NIST , FedRAMP, CSA Cloud Control Matrix Blaupause für das Risikomanagement des Cloud-Anbieters (Prinzip Sapere aude! ) IT-Grundschutz-Anwender: Baustein für Geschäftsprozess Teil I: Akteure, Objekte, Geschäftsprozesse im CRM Schutzbedarf und Sicherheitsanforderungen Teil II: Risikoanalyse & Steckbriefe Teil III: Sicherheitsanforderungen Teil IV: Kreuz-Referenz-Tabelle 14

15 Vielen Dank für die Aufmerksamkeit! Fragen oder Anmerkungen? 15

16 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Patrick Grete Postfach Bonn